Richtlinie für Eigenprogrammierungen Freigegeben v1
Inhalt
Vorgaben zu Anforderungsprozess, Entwicklung, Test, Abnahme und Betrieb von Eigenanwendungen.
Einleitung
Eigenprogrammierungen (= Eigenanwendungen) sind grundsätzlich zulässig. Für die Programmierung sind die nachfolgenden Vorgaben zu beachten.
Bei Anwendungsentwicklungen im größeren Umfang sollten Planung und Durchführung der Entwicklung im Rahmen eines Projekts unter Berücksichtigung der Vorgaben zum Vorgehensmodell aus dem Projektmanagement erfolgen und dabei unter anderem auch Auswirkungsanalysen vorgenommen werden.
Nach BAIT Tz. 7.8/7.9 können insbesondere folgende Vorkehrungen geeignet sein:
- Prüfung der Eingabedaten
- Systemzugangskontrollen
- Benutzerauthentifizierung
- Transaktionsautorisierung
- Protokollierung der Systemaktivitäten
- Prüfpfade (Audit Logs)
- Verfolgung von sicherheitsrelevanten Ereignissen
- Behandlung von Ausnahmen
- Überprüfung des Quellcodes
1.1. Anforderungs- und Entwicklungsprozess
Neue Eigenprogrammierungen werden grundsätzlich erst nach Erstellung eines fachlichen Konzeptes mit Bewertung realisiert. Für die Umsetzung und den gesamten Prozess wurde eine Datenbank („MB Eigenanwendungen") konzipiert, die durch einen fest definierten Workflow führt.
Die Beantragung erfolgt direkt durch den Fachbereich im Ticketsystem. Je nach Komplexität ist eine entsprechende Ausführungstiefe erforderlich, die bis zu einem detaillierten Fachkonzept reicht. Abnahmekriterien werden im Vorfeld festgehalten.
Kategorisierung eines Incidents
| Kategorie | Beschreibung |
|---|---|
| Hoch (1) | Schaden nimmt schnell zu, Aufgaben sind zeitkritisch, große Anzahl von Benutzern betroffen. |
| Mittel (2) | Schaden nimmt rapide zu, Aufgaben nur mäßig zeitkritisch, mäßige Anzahl von Benutzern betroffen. |
| Niedrig (3) | Schaden nimmt langsam zu, nicht zeitkritisch, minimale Anzahl von Benutzern betroffen. |
Reaktions- und Lösungszeiten
| Prio | Beschreibung | Reaktionszeit | Lösungszeit |
|---|---|---|---|
| 1 | Hoch | sofort | 1 Tag |
| 2 | Mittel | 4 Stunden | 2 Tage |
| 3 | Niedrig | 1 Tag | 1 Woche |
Alle Tickets werden in einem Jour fixe zwischen Entwicklung und Fachbereich priorisiert und einem der drei jährlichen Releases zugeordnet. Sobald das Ticket in der Testversion realisiert ist, führt der Entwickler einen Entwicklertest durch; die Dokumentation der technischen Umsetzung erfolgt in der Wiki. Sofern der einzelne Auftrag ein Volumen von 6 MT übersteigt, ist die Plausibilisierung der Codierung durch einen zweiten Entwickler im Rahmen eines Code Review durchzuführen und im Ticketsystem zu dokumentieren.
Der Fachbereich wird zum Abnahmetest aufgefordert. Eine Ausbringung in die Produktivumgebung wird bei fehlender oder nicht ausreichender Testdokumentation nicht durchgeführt. Nach Abnahme erfolgt die Zusammenfassung zu einem Release, welches in einem gesonderten ReleaseTest abgenommen wird.
Die Dokumentation besteht aus drei Teildokumenten in der Wiki:
- Anwenderdokumentation (Beschreibung der Nutzung der Anwendung für den Endanwender mit Bedienungshinweisen)
- Technische Systemdokumentation (Beschreibung der Codierung für den internen Gebrauch)
- Betriebsdokumentation (Beschreibung für IT zum Betrieb, Wartung und Neuinstallation)
1.2. Vorgaben zur Softwareentwicklung und zur Entwicklungsumgebung
- 1.2.1. Funktionstrennung zwischen Entwicklung und Produktion; klar definierte Entwicklungsumgebung.
- 1.2.2. Verwendung von Programmiersprachen – gemäß hausinterner Vorgaben.
- 1.2.3. Programmierrichtlinien – Benennungskonventionen, Kommentare, Modulstruktur, Code-Organisation.
- 1.2.4. Qualitätssicherung und technische Prüfroutinen.
- 1.2.5. Aufbewahrung von Quellcode und Artefakten.
1.3. Test-, Abnahme- und Freigabeverfahren
- 1.3.1. Abnahme von selbst entwickelter Software (Eigenanwendungen).
- 1.3.2. Ausbringung von freigegebenen Releases.
- 1.3.3. Fehlerbereinigung in freigegebenen Anwendungen (Incident-/Problemmanagement).
1.4. Management-Report Eigenprogrammierung
Die Entwicklung erstellt jeweils nach Ablauf des Quartals einen Management-Report, der die Geschäftsleitung über wichtige Themen per MIS informiert. Aufgeschlüsselt nach Anwendung wird auf folgende Punkte eingegangen:
- Zuständiger Programmierer
- Releaseeinsätze mit Inhalten
- Status über Weiterentwicklungen, Planungsgespräche, offene Anforderungen und weiteres Vorgehen
- Nennenswerte Probleme und Risiken
1.5. Umgang mit ausgelagerten Entwicklungen
- Inhaltliche Grundanforderungen aus Pflichtenheft, Geschäftsprozess oder Projekt.
- Agile Umsetzung in Vorgängen über das Backlog.
- Erstellung von Anwender- und Betriebsdokumentation.
- Breiteneinsatz nach Abnahme.
1.6. Sonstiges
1.6.1. Außerbetriebnahme von Eigenanwendungen
Für die Außerbetriebnahme ist ein spezifischer Vorgang im Forum ISM vorgesehen.
1.6.2. Logging
Anwendungen implementieren Logging zur Nachvollziehbarkeit und Fehlersuche (Informations-, Fehler- und Debug-Protokolle).
Freigaben
Kein WorkflowKein Freigabe-Workflow aktiv. Ändern Sie den Modus im Dokument-Edit.
Kenntnisnahmen
0 / 0 bestätigtKeine Kenntnisnahmen zugewiesen.
Berechtigungen
Keine expliziten Berechtigungen zugewiesen.
Versionen
-
v1Freigegeben 14.10.2024 00:00Max Mustermann„zu 1.2.1 Packages/nuget · zu 1.3.1 Tests/Testdokumentation · zu 1.6 Sonstiges neu aufgenommen"
Änderungsverlauf
-
VersionAngelegt 13.10.2024 00:00Max Mustermann · Version 1
-
DokumentErstellt 13.10.2024 00:00Max Mustermann · Import aus PDF (anonymisiert)
Metadaten
- Kapitel
- Sachgebiete / Anweisungen › Unternehmensentwicklung
- Verantwortlich
- Unternehmensentwicklung
- Kategorie
- Richtlinie
- Schlagworte
- eigenprogrammierung,entwicklung,release,test,abnahme
- Sichtbar ab
- 13.10.2024
- Sichtbar bis
- –
- Prüftermin
- 14.10.2025 überfällig
- Erstellt
- 13.10.2024 · Max Mustermann
- Geändert
- 14.10.2024 00:00 · Max Mustermann
Anhänge (0)
Keine Anhänge.